nvsvcd.exe
|
C:\WINDOWS\system32\nvsvcd.exe --> Backdoor.Win32.IRCBot.nw C:\WINDOWS\system\smss.exe -> Backdoor.IRCBot.ob C:\Temp\data.exe C:\Temp\modul.exe C:\DOKUME~1\Username\LOKALE~1\Temp\module.exe 
HijackThis
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
datfindbat
Directory of C:\WINDOWS\system32 02/22/2006 04:16 PM 11,264 netf.dll 02/21/2006 11:50 PM 45,056 nvsvcd.exe 02/08/2006 07:51 PM 68,516 ympguninst.exe anderer PC 28.02.2006 22:02 40.960 netf.dll Directory of C:\DOCUME~1\Username\LOCALS~1\Temp 02/22/2006 04:16 PM 11,264 netf.dll 02/22/2006 04:16 PM 45,056 tmp1.tmp 02/22/2006 08:32 AM 259,338 mps07C91.tmp anderer PC 28.02.2006 22:03 47.104 27exmodulal.exe 28.02.2006 22:02 40.960 netf.dll 28.02.2006 22:02 45.056 tmp1.tmp 33exmodulal.exe 77exmodulal.exe 5exmodulal.exe C:\WINDOWS\system32\netf.dll C:\WINDOWS\system32\nvsvcd.exe C:\WINDOWS\system\smss.exe C:\Documente und Einstellungen\Username\Lokale Einstellungen\Temp\~DFCA5.tmp C:\Documente und Einstellungen\Username\Lokale Einstellungen\Temp\LVCOMSX.LOG C:\Documente und Einstellungen\Username\Lokale Einstellungen\Temp\netf.dll C:\Documente und Einstellungen\Username\Lokale Einstellungen\Temp\Perflib_Perfdata_814.dat C:\Documente und Einstellungen\Username\Lokale Einstellungen\Temp\tmp1.tmp C:\Documente und Einstellungen\Username\Lokale Einstellungen\Temp\mps07C91.tmp C:\Documente und Einstellungen\Username\Lokale Einstellungen\Temp\modulac.exe --> Trj/Downloader.HMS C:\Documente und Einstellungen\Username\Lokale Einstellungen\Temp\gtb5.tmp.cab C:\Documente und Einstellungen\Username\Lokale Einstellungen\Temp\gtb5.tmp C:\Documente und Einstellungen\Username\Lokale Einstellungen\Temp\module.exe C:\Documente und Einstellungen\Username\Lokale Einstellungen\Temp\27exmodulal.exe C:\WINDOWS\system32\nvsvcd.exe C:\Temp\data.exe C:\Temp\modul.exe C:\WINDOWS\system32\ympguninst.exe
Cleanup anwenden
* Empty Recycle Bins * Delete Cookies * Delete Prefetch files * Cleanup! All Users
Kaspersky (Onlinescan) anwenden
C:\System Volume Information\_restore{23DE466A-C5BE-4836-843E-EDA1EA9C15E0}\RP149\A0012047.dll Infected: Backdoor.Win32.IRCBot.nw C:\System Volume Information\_restore{23DE466A-C5BE-4836-843E-EDA1EA9C15E0}\RP150\A0012185.dll Infected: Backdoor.Win32.IRCBot.nw C:\WINDOWS\system\smss.exe Infected: Backdoor.Win32.IRCBot.nw C:\WINDOWS\system32\netf.dll Infected: HackTool.Win32.Hidd.p C:\WINDOWS\system32\netf.dll Infected: Backdoor.Win32.IRCBot.nw C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\netf.dll Infected: HackTool.Win32.Hidd.p C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\tmp1.tmp Infected: Backdoor.Win32.IRCBot.nw
Start --> Ausführen --> regedit
Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --->
Reiter Systemwiederherstellung ---> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
C:\WINDOWS\system32\nvsvcd.exe BitDefender Backdoor.IRC.Syg.A gefunden Dr.Web BackDoor.IRC.Syg gefunden Kaspersky Anti-Virus Backdoor.Win32.IRCBot.nw gefunden Norman Virus Control W32/Agent.TMS gefunden VBA32 BackDoor.IRC.Syg gefunden C:\Temp\data.exe Avast Win32:Robobot-AU gefunden BitDefender Backdoor.Headea.A gefunden Dr.Web BackDoor.IRC.Syg gefunden Fortinet W32/Generic.B!wm gefunden Kaspersky Anti-Virus Backdoor.Win32.IRCBot.nw gefunden NOD32 probably unknown NewHeur_PE gefunden (mögliche Variante) Norman Virus Control W32/Agent.TMS gefunden Datei: smss.exe ArcaVir Trojan.Ircbot.Nw gefunden AVG Antivirus BackDoor.Generic2.LNJ gefunden Dr.Web BackDoor.IRC.Gym gefunden Kaspersky Anti-Virus Backdoor.Win32.IRCBot.nw gefunden NOD32 Win32/Agent.TV gefunden Norman Virus Control W32/Ircbot.ACB gefunden VBA32 Backdoor.Win32.IRCBot.nw gefunden anderer PC
HijackThis
O2 - BHO: (no name) - {87ADA82A-82D3-4A7A-9628-7DF1F9E20785} - C:\WINDOWS\system32\audiosrw.dll O4 - HKLM\..\Run: [NvCplScan] nvsc32.exe O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w O4 - HKCU\..\Run: [NvCplScan] nvsc32.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplScan"="nvsc32.exe" [HKEY_USERS\S-1-5-21-2025429265-1972579041-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Run] "NvCplScan"="nvsc32.exe" Verzeichnis von C:\WINDOWS\system32 04.02.2006 13:19 28.393 audiosrw.dll Datei: audiosrw.dll * File length: 28393 bytes. * MD5 hash: 75fefa251e75ced8647c1d8298fb9e2b. Adware-Spyware/Stud.A.1 adware gefunden AVG Antivirus Generic.LRH gefunden BitDefender Trojan.Downloader.6588.E gefunden Dr.Web Trojan.DownLoader.6588 gefunden Fortinet W32/Small.CGU-tr gefunden Kaspersky Anti-Virus not-a-virus:AdWare.Win32.Stud.a gefunden nvsvc32.exe : Not detected by sandbox (Signature: NO_VIRUS) [ General information ] * **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**. * File length: 127043 bytes. * MD5 hash: 0bd326515e07602c311fce4d087f448f. "C:\\WINDOWS\\system32\\nvsc32.exe"="C:\\WINDOWS\\system32\\nvsc32.exe:disabled:nvsc32"
registry_stuff anwenden
"C:\\WINDOWS\\system32\\nvsc32.exe"="C:\\WINDOWS\\system32\\nvsc32.exe:disabled:nvsc32" "C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\39exmodulag.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\39exmodulag.exe "C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\47exmodulag.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\47exmodulag.exe "C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\0exmodulah.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\0exmodulah.exe "C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\50exmodulah.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\50exmodulah.exe "C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\24exmodulah.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\24exmodulah.exe "C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\44exmodulah.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\44exmodulah.exe "C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\12exmodulah.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\12exmodulah.exe "C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\27exmodulal.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\27exmodulal.exe "C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\36exmodulal.exe"="C:\\DOKUME~1\\1\\LOKALE~1\\Temp\\36exmodulal.exe anderer PC
HijackThis
O2 - BHO: (no name) - {B0496C47-58ED-46CA-AA30-8BEAB0DDAE71} - C:\WINDOWS\System32\mcjavi32.dll O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
datfindbat
Verzeichnis von C:\WINDOWS\system32 10.04.2006 18:33 51.733 plugin1.dat
http://www.symantec.com
Gehe in die Registry
Start - Ausführen - regedit bearbeiten - suchen - Wget HKEY_CURRENT_USER\Software\Wget --> löschen, wenn du es findest HKEY_LOCAL_MACHINE\SOFTWARE\Wget
bearbeiten - suchen - Windows Log
Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen. löschen: C:\WINDOWS\system32\plugin1.dat C:\WINDOWS\system32\nvsvcd.exe C:\WINDOWS\system32\ws423195.ocx C:\WINDOWS\System32\mcjavi32.dll anderer PC
HijackThis
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
datfindbat
Verzeichnis von C:\WINDOWS\system32 20.04.2006 18:53 49.152 nvsvcd.exe Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp 23.04.2006 16:18 7.564 mso64B13.emf 23.04.2006 16:18 19.975.752 mso6C3AA.emf
scanene mit Trend-Micro/HouseCall
TROJ_SPAMMER.E 2 Infektionen trojanisches Programm Trojan-Downloader.Win32.Agent.ajd Datei: C:\Dokumente und Einstellungen\Username\.housecall\Quarantine\36exssd32a.exe.bac_a01388/CryptFF.b/UPX trojanisches Programm Trojan-Downloader.Win32.Agent.ajd Datei: C:\Dokumente und Einstellungen\Username\.housecall\Quarantine\96exssd32a.exe.bac_a01388/CryptFF.b/UPX
RootkitRevealer
RootkitRevealer
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\tmp000073d5 C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\tmp000073d5\tmp00000000 C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\~DF6EE.tmp anderer PC
HijackThis
C:\DOKUME~1\Username\LOKALE~1\Temp\65exmodul32.exe O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
datfindbat
Verzeichnis von C:\WINDOWS\system32 21.02.2006 19:13 8 wtl.dat Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp 26.04.2006 16:31 54.272 ginstall.dll 26.04.2006 15:32 41.984 85exmscfgl.exe 26.04.2006 14:02 41.984 67exmscfgl.exe 26.04.2006 11:18 47 autorun.inf 26.04.2006 11:18 55.586 install.exe 26.04.2006 11:18 22.016 87exssd32a.exe 26.04.2006 11:18 41.984 63exmscfgl.exe 25.04.2006 22:41 22.016 20exssd32a.exe 25.04.2006 22:41 47.104 65exmodul32.exe 25.04.2006 14:35 41.984 16exmscfgl.exe 25.04.2006 14:35 22.016 37exssd32a.exe 25.04.2006 14:10 0 aaxE.tmp 24.04.2006 23:34 0 aaxC.tmp 24.04.2006 22:41 22.016 50exssd32a.exe 24.04.2006 22:41 41.984 56exmscfgl.exe 24.04.2006 21:47 49.152 tmp1.tmp 23.04.2006 22:23 0 aaxD.tmp 23.04.2006 20:12 47.616 56exmodul32.exe 23.04.2006 19:09 41.984 88exmscfgl.exe 22.04.2006 20:19 47.616 99exmodul32.exe 22.04.2006 19:07 22.016 13exssd32a.exe 21.04.2006 20:22 47.616 36exmodul32.exe 21.04.2006 19:07 41.984 33exmscfgl.exe 21.04.2006 15:01 41.984 8exmscfgl.exe 18.04.2006 23:59 0 aax2.tmp 18.04.2006 23:57 0 aax1.tmp 18.04.2006 23:47 22.016 51exssd32a.exe 18.04.2006 15:52 22.016 44exssd32a.exe 18.04.2006 15:39 22.016 31exssd32a.exe 18.04.2006 00:54 47.104 21exmodulbk.exe Verzeichnis von C:\WINDOWS 24.04.2006 22:41 53.248 mscfg.dll Verzeichnis von C:\ 25.03.2005 17:58 3.591 data
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren
auf dem Desktop abspeichern [Gebe bei Dateityp 'Alle Dateien' an.] als delete.bat --> Doppeltklicken
Löschen:
C:\WINDOWS\system32\nvsvcd.exe C:\WINDOWS\system32\ikhcore.log C:\DOKUME~1\User\LOKALE~1\Temp\65exmodul32.exe C:\WINDOWS\system32\wtl.dat C:\WINDOWS\system32\mscfg.dll C:\WINDOWS\mscfg.dll C:\data anderer PC - Trojan.Proxy.Horst.AX
HijackThis
C:\DOKUME~1\User\LOKALE~1\Temp\9exmodul32.exe O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
datfindbat
Verzeichnis von C:\WINDOWS\system32 26.04.2006 18:12 53.248 mscfg.dll Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp 26.04.2006 18:38 47 autorun.inf 26.04.2006 18:38 55.891 install.exe 26.04.2006 18:38 47.104 47exmodul32.exe 26.04.2006 18:38 22.016 88exssd32a.exe 26.04.2006 18:37 233 ADSA.tmp Verzeichnis von C:\ 26.04.2006 18:17 627 sti.log
löschen:
C:\WINDOWS\system32\mscfg.dll C:\WINDOWS\system\smss.exe C:\WINDOWS\System32\nvsvc32.exe C:\DOKUME~1\User\LOKALE~1\Temp\~DF14C3.tmp C:\DOKUME~1\User\LOKALE~1\Temp\~DFD68E.tmp C:\DOKUME~1\User\LOKALE~1\Temp\autorun.inf C:\DOKUME~1\User\LOKALE~1\Temp\install.exe C:\DOKUME~1\User\LOKALE~1\Temp\47exmodul32.exe C:\DOKUME~1\User\LOKALE~1\Temp\9exmodul32.exe C:\DOKUME~1\User\LOKALE~1\Temp\88exssd32a.exe C:\DOKUME~1\User\LOKALE~1\Temp\Perflib_Perfdata_c48.dat C:\DOKUME~1\User\LOKALE~1\Temp\ADSA.tmp C:\sti.log anderer PC
HijackThis
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
datfindbat
Verzeichnis von C:\WINDOWS\system32 06.05.2006 14:10 53.248 mscfg.dll Verzeichnis von C:\WINDOWS 12.04.2006 21:46 26 fiupd.bat Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp 10.05.2006 08:07 66.560 96exmodul32.exe 10.05.2006 08:04 49.152 tmp1.tmp ------------------- C:\DOKUME~1\Username\LOKALE~1\Temp\96exmodul32.exe C:\DOKUME~1\Username\LOKALE~1\Temp\tmp1.tmp C:\WINDOWS\system\smss.exe C:\WINDOWS\system32\nvsvcd.exe C:\WINDOWS\fiupd.bat C:\WINDOWS\system32\mscfg.dll
Kaspersky-Onlinescan
C:\!KillBox\smss.exe Infected: Trojan-Downloader.Win32.Zlob.nr
erkannt mit: registry_stuff
C:\WINDOWS\TEMP\74exmodul32.exe C:\WINDOWS\TEMP\25exmodul32.exe C:\WINDOWS\TEMP\38exmodul32.exe C:\WINDOWS\TEMP\89exmodul32.exe C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\99exmodul32.exe C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\25exmodul32.exe C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\88exmodul32.exe C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\78exmodul32.exe C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\58exmodul32.exe C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\84exmodul32.exe C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\57exmodul32.exe C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\23exmodul32.exe C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\71exmodul32.exe C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\52exmodul32.exe C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\15exmodul32.exe C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\90exmodul32.exe anderer PC
Kaspersky-Online
C:\WINDOWS\system32\nvsvcd.exe Infected: Trojan-Proxy.Win32.Horst.ba C:\WINDOWS\system\smss.exe Infected: Trojan-Proxy.Win32.Horst.ba C:\WINDOWS\temp\data.exe Infected: Trojan-Proxy.Win32.Horst.ba C:\WINDOWS\temp\tmp1.tmp Infected: Trojan-Proxy.Win32.Horst.ba C:\DOKUME~1\User\LOKALE~1\Temp\tmp1.tmp Infected: Trojan-Proxy.Win32.Horst.ba C:\DOKUME~1\User\LOKALE~1\Temp\33exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.ax C:\DOKUME~1\User\LOKALE~1\Temp\64exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.ax C:\DOKUME~1\User\LOKALE~1\Temp\31exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.ax C:\DOKUME~1\User\LOKALE~1\Temp\61exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.ax C:\DOKUME~1\User\LOKALE~1\Temp\87exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.ax C:\DOKUME~1\User\LOKALE~1\Temp\74exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.ax C:\DOKUME~1\User\LOKALE~1\Temp\85exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.ax C:\DOKUME~1\User\LOKALE~1\Temp\42exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.ax anderer PC
datfindbat
Verzeichnis von C:\WINDOWS\system32 15.05.2006 19:00 49.152 nvsvcd.exe 11.05.2006 23:34 816.640 wodfamoh.dll Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp 15.05.2006 21:34 49.152 tmp1.tmp Verzeichnis von C:\ 14.05.2006 20:14 46.633 data.exe
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren
Auf dem Desktop abspeichern [Gebe bei Dateityp 'Alle Dateien' an.] als delete.bat. --> Doppeltklicken
Killbox
C:\WINDOWS\system\smss.exe C:\Temp\data.exe C:\data.exe C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\tmp1.tmp C:\WINDOWS\system32\nvsvcd.exe C:\WINDOWS\system32\wodfamoh.dll C:\WINDOWS\system32\getfile.dat C:\WINDOWS\system32\bdod.bin
registry_stuff
anderer PC
HijackThis
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
Silentrunner
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ".nvsvc" = "C:\WINDOWS\system\smss.exe /w" [file not found] HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\ \InProcServer32\(Default) = "C:\WINDOWS\system32\mscfg.dll" ["TODO: Company name"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
datfindbat
Verzeichnis von C:\WINDOWS\system32 29.04.2006 11:23 53.248 mscfg.dll Sat May 13 10:09:06 2006 => File C:\WINDOWS\system32\mscfg.dll - AdWare.Win32.MyBird.a anderer PC
HijackThis
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - E:\WINDOWS\system32\mscfg.dll
datfindbat
Verzeichnis von E:\WINDOWS 27.04.2006 05:09 53.248 mscfg.dll 23.04.2006 08:30 420 usr.dat
im Avenger sichtbar:
File E:\WINDOWS\system32\mscfg.dll deleted successfully. File E:\WINDOWS\mscfg.dll deleted successfully.
Kaspersky Anti-Virus
AdWare.Win32.MyBird.a Datei: E:\avenger\backup.zip\avenger/mscfg.dll Trojan-Proxy.Win32.Horst.az Datei: E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\tmp1.tmp anderer PC C:\Documents and Settings\User\Desktop\War on spyware\requested-files[2006-05-10_01_19].cab/C:/WINDOWS/system32/nvsvcd.exe Infected: Trojan-Downloader.Win32.Zlob.nr skipped C:\Documents and Settings\User\Local Settings\Application Data\Identities\ {2622967D-716B-4A54-8630-E3CA6D55E6CD}\Microsoft\Outlook Express\rarmus@hotmail.com - Sent Items.dbx/[From "Robert Armus"][Date Wed, 10 May 2006 01:39:04 +0200] /UNNAMED/requested-files [2006-05-10_01_19].cab/C:/WINDOWS/system32/nvsvcd.exe Infected: Trojan-Downloader.Win32.Zlob.nr skipped C:\Documents and Settings\Me\Local Settings\Temp\tmp1.tmp Trojan-Downloader.Win32.Zlob.nr C:\WINDOWS\system\smss.exe Infected: Trojan-Downloader.Win32.Zlob.nr C:\WINDOWS\system32\nvsvcd.exe Infected: Trojan-Downloader.Win32.Zlob.nr anderer PC
HijackThis
O4 - HKLM\..\Run: [example.exe] C:\WINDOWS\system32\example.exe
datfindbat
Verzeichnis von C:\WINDOWS\system32 31.05.2006 16:35 98.489 bpk.dat 31.05.2006 16:21 841 web.dat 31.05.2006 13:44 49.152 nvsvcd.exe 31.05.2006 13:10 82.944 iexplore.dll
Kasperky-Online
C:\WINDOWS\system32\iexplore.dll Infected: Trojan.Win32.Madtol.a C:\DOKUME~1\User\LOKALE~1\Temp\26exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be C:\DOKUME~1\User\LOKALE~1\Temp\38exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be C:\DOKUME~1\User\LOKALE~1\Temp\98exmodul32.exe Infected: Trojan-Proxy.Win32.Horst.be
registry_stuff
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\ StandardProfile\ AuthorizedApplications\List] "C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe "C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\38exmodul32.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\38exmodul32.exe "C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\98exmodul32.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\98exmodul32.exe "C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\26exmodul32.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\26exmodul32.exe "C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\67exmodul32.exe"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\67exmodul32.exe
ServiceFilter.zip
- entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren Unknown Service # 14 Service Name: Windows Log Display Name: Windows Log Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\windows\system32\nvsvcd.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch
Start -> Ausführen --> schreib rein: notepad -- klicke OK.
oder , falls das Kommando nicht stimmt, öffne den Editor....
Dann kopiere folgenden Text rein: sc stop Windows Log sc delete Windows Log del delete.bat Auf dem Desktop abspeichern [Gebe bei Dateityp 'Alle Dateien' an.] als delete.bat --> Doppeltklicken C:\WINDOWS\system32\example.exeAntiVir 6.34.1.34 05.31.2006 TR/MadTol.AEwido 3.5 05.31.2006 Trojan.Madtol.a Sophos 4.05.0 05.31.2006 Troj/Madtol-A Symantec 8.0 05.31.2006 Hacktool.Rootkit Troj/Madtol-A legt die Dateien Explorer.dll und Iexplorer.dll in den Windows-Systemordner. Während der Trojaner aktiv ist, sind diese Dateien mitunter nicht sichtbar, wie auch der oben genannte Registrierungseintrag und sämtliche Dateien, Ordner, Registrierungseinträge und Nestat-Einträge, die der Trojaner so konfiguriert hat, dass sie versteckt werden. Der Trojaner fügt seinen Tarn-Code in den EXPLORER-Prozess ein, so dass für die Desinfektion ein Neustart des Computers erforderlich ist. example.exe hidden.exe iexplore.dll readme.txt rootkit.exe
http://www.pestpatrol.com
Bck/Ratsou.A / Nicht desinfiziert / C:\WINDOWS\system32\rootkit-ice-packed.exe Bck/Ratsou.A / Nicht desinfiziert / C:\WINDOWS\system32\explorer.dll Bck/Ratsou.A / Nicht desinfiziert / C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\rootkit-ice-packed.exe anderer PC
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->
Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Avenger
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit
'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint
Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp 21.07.2006 22:50 1.530 222.dat 21.07.2006 22:50 1.192 333.dat 21.07.2006 22:50 6.252 111.dat 21.07.2006 22:18 43 autorun.inf 21.07.2006 22:18 46.080 setup.exe 21.07.2006 22:18 47 modex2.exe.conf 21.07.2006 22:18 47 ssd32e.exe.conf 21.07.2006 21:18 45 mhdd.exe.conf 21.07.2006 21:18 24.576 93exmhdd.exe 21.07.2006 20:35 917.504 MFPL7014.DLL 21.07.2006 19:13 23.040 92exssd32e.exe 21.07.2006 19:13 23.040 27exssd32e.exe 21.07.2006 19:13 23.040 68exssd32e.exe 21.07.2006 18:55 45.056 tmp1.tmp 20.07.2006 20:53 47 ssd32d.exe.conf 14.07.2006 12:42 51.712 90exmodex2.exe 14.07.2006 12:42 51.712 89exmodex2.exe 14.07.2006 12:42 51.712 81exmodex2.exe 14.07.2006 12:42 51.712 79exmodex2.exe 14.07.2006 12:42 51.712 11exmodex2.exe 14.07.2006 12:42 51.712 77exmodex2.exe 14.07.2006 12:42 51.712 23exmodex2.exe 14.07.2006 12:42 51.712 30exmodex2.exe 14.07.2006 12:42 51.712 31exmodex2.exe 14.07.2006 12:42 51.712 36exmodex2.exe 14.07.2006 12:42 51.712 37exmodex2.exe 14.07.2006 12:42 51.712 61exmodex2.exe 14.07.2006 12:42 51.712 41exmodex2.exe 14.07.2006 12:42 51.712 57exmodex2.exe 14.07.2006 12:42 51.712 56exmodex2.exe 14.07.2006 12:42 51.712 42exmodex2.exe 14.07.2006 12:42 51.712 49exmodex2.exe 14.07.2006 12:42 51.712 51exmodex2.exe 14.07.2006 12:42 51.712 52exmodex2.exe 14.07.2006 12:42 51.712 53exmodex2.exe anderer PC TRJ/Zlob.Gen.61 - Trojan-Proxy.Win32.Horst
Kaspersky-Onlinescan
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\21exinjs.a.exe Trojan-Proxy.Win32.Horst.hs C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\2exmodul32c.3.exe Trojan-Proxy.Win32.Horst.hs C:\Dokumente und Einstellungen\User\Eigene Dateien\Wallpaper\setup.exe Trojan-Proxy.Win32.Horst.jf C:\Dokumente und Einstellungen\User\Eigene Dateien\panda\setup.exe Trojan-Proxy.Win32.Horst.jf C:\WINDOWS\system32\spool\drivers\setup.exe Trojan-Proxy.Win32.Horst.jf C:\Dokumente und Einstellungen\All Users\Dokumente\setup.exe Trojan-Proxy.Win32.Horst.jf C:\WINDOWS\system\smss.exe Trojan-Proxy.Win32.Horst.jf
Avenger
Registry values to delete: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|.nvsvc registry keys to delete: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log Files to delete: C:\WINDOWS\sys386r.dat C:\WINDOWS\sys386hi.dat C:\WINDOWS\system32\getfile.dat C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\26exinjs.9.exe C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\77exinjs.9.exe C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\20exinjs.9.exe C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\tmp1.tmp C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\autorun.inf C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\setup.exe C:\WINDOWS\system\smss.exe C:\WINDOWS\system32\nvsvcd.exe C:\WINDOWS\system32\rundll32.exe.Z-missing.txt C:\Dokumente und Einstellungen\%Username%\Eigene Dateien\Wallpaper\setup.exe C:\Dokumente und Einstellungen\%Username%\Eigene Dateien\panda\setup.exe C:\WINDOWS\system32\spool\drivers\setup.exe C:\Dokumente und Einstellungen\All Users\Dokumente\setup.exe [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Terminal Server\SysProcs] "smss.exe"=0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ".nvsvc"="C:\WINDOWS\system\smss.exe /w" [\HKEY_LOCALMACHINE\SYSTEM\ControlSet003\Services\ SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\] "....\Temp\39exmodul32.exe:*:Enabled:Microsoft Update"" anderer PC C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp 10.01.2007 17:20 25.600 79exhdd.y.exe 10.01.2007 17:20 25.600 27exhdd.y.exe 10.01.2007 17:20 25.600 44exhdd.y.exe 10.01.2007 17:20 25.600 86exhdd.y.exe 10.01.2007 17:20 25.600 0exhdd.y.exe 10.01.2007 17:20 25.600 85exhdd.y.exe 10.01.2007 17:20 25.600 45exhdd.y.exe 10.01.2007 18:24 85.470 lnames.txt.cab 10.01.2007 18:24 187.993 lnames.txt 10.01.2007 18:24 28.894 fnames.txt.cab 10.01.2007 18:24 88.071 fnames.txt 10.01.2007 18:24 43 autorun.inf 10.01.2007 18:24 49.152 setup.exe 10.01.2007 18:24 368.243 domains.txt 10.01.2007 18:24 126.354 domains.txt.cab 10.01.2007 18:23 48.128 19exmodul32g.2.exe anderer PC [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSetFolders"=dword:00000000 "NoSetTaskbar"=dword:00000000 "NoSaveSettings"=dword:00000000 "NoRun"=dword:00000000 "NoFind"=dword:00000000 Verzeichnis von C:\DOKUME~1\%Username%\LOKALE~1\Temp 16.01.2007 11:37 85.470 lnames.txt.cab 16.01.2007 11:37 187.993 lnames.txt 16.01.2007 11:37 88.071 fnames.txt 16.01.2007 11:37 28.894 fnames.txt.cab 16.01.2007 11:34 126.354 domains.txt.cab 16.01.2007 11:34 368.243 domains.txt 16.01.2007 11:34 43 autorun.inf 16.01.2007 11:34 49.152 setup.exe 16.01.2007 11:34 48 hdd.z.exe.conf 16.01.2007 11:34 25.600 69exhdd.z.exe 16.01.2007 11:34 50 ssd32.a3.exe.conf 16.01.2007 11:34 23.552 8exssd32.a3.exe 16.01.2007 11:34 48.128 6exmodul32g.3.exe 16.01.2007 11:34 52 modul32g.3.exe.conf
Avenger
|
